Java Security Framework

Question

Безопасность всегда стремится занять последнее место в новом проекте. Или вы используете среду, такую ​​как Spring, где безопасность уже встроена и может быть легко включена. Я пытаюсь найти открытую платформу безопасности, которую можно подключить как к Swing, так и к веб-приложениям (и JavaFX?), Возможно, легко переварить. Я посмотрел на простые JAAS, JGuard и JSecurity, но это слишком сложно, чтобы начать. Любые рекомендации или опыт, чтобы поделиться? Я работаю с NB, Glassfish и MySQL. Спасибо Свен

Answer 1

Я только что посмотрел на это http://shiro.apache.org/

Apache Shiro является мощным и простая в использовании инфраструктура безопасности Java который выполняет аутентификацию, авторизация, криптография и управление сессиями. С Широ простой для понимания API, вы можете быстро и легко обезопасить любой приложение - от самого маленького мобильного приложения к крупнейшей сети и корпоративные приложения.

Answer 2

Я провел аналогичное исследование в JAAS для веб-приложений и столкнулся с «препятствием на пути к разуму», пока не понял, что JAAS - это платформа, ориентированная на безопасность на другом «уровне», чем традиционные веб-приложения в мире Java. Он предназначен для решения проблем безопасности в J2SE, а не в J2EE.

JAAS - это сборка инфраструктуры безопасности для обеспечения безопасности на уровне, намного ниже уровня веб-приложения. Некоторым примером таких вещей являются код и ресурсы, доступные на уровне JVM, отсюда и все эти возможности устанавливать файлы политики на уровне JVM.

Однако, поскольку J2EE построен на основе J2SE, несколько модулей из JAAS были повторно использованы в безопасности J2EE, такие как LoginModules и Callbacks.

С другой стороны, Acegi, также известная как Spring Security, решает гораздо более высокий «уровень» проблемы безопасности веб-приложений. Он построен на основе безопасности J2EE, следовательно, J2SE и, следовательно, JAAS. Если вы не ищете защищенные ресурсы на уровне J2SE (классы, системные ресурсы), я не вижу реального использования JAAS, кроме использования общего класса и интерфейсов. Просто сосредоточьтесь на использовании Acegi или простой старой безопасности J2EE, которая решает множество распространенных проблем безопасности веб-приложений.

В конце концов, важно узнать, какой "уровень" проблемы безопасности J2EE-J2SE вы решаете, и выбрать инструмент (ы) записи для этой проблемы.

Answer 3

Я настоятельно рекомендую учить JAAS. Это действительно не так сложно подобрать, и на сайте Sun есть несколько полезных учебных пособий и справочного руководства .

По моему опыту, JAAS довольно широко используется, так что это определенно то, что вы сможете использовать повторно, как только вы его изучите. Он также является одним из строительных блоков для механизма аутентификации Glassfish !

Answer 4

Я бы порекомендовал вам взглянуть на OACC (http://oaccframework.org). OACC был разработан для решения проблемы безопасности приложений. В отличие от большинства сред OACC способен хранить / управлять отношениями авторизации в вашем приложении. Модель авторизации OACC более мощный, чем Shiro или Spring Security.

Answer 5

Есть альтернатива от JBoss. Новая версия для PicketBox. Больше информации здесь: https://docs.jboss.org/author/display/SECURITY/Java+Application+Security

Answer 6

Вы можете прочитать http://code4reference.com/2013/08/guest-posttop-java-security-frameworks-for-developing-defensive-java-applications/

Это дает 1000-мильное представление из различных структур Java Security, таких как JAAS, Shiro или Spring Security. Все зависит от ваших требований и технологий, которые вы выбираете

Answer 7

apache также терпит неудачу, когда вы загружаете веб-приложение под JBoss (скажем, 2 миллиона запросов простого GET с одновременностью 50 потоков) был очень разочарован, чтобы узнать это. это происходит при использовании фильтров.